0
Diritto ambientale e cyber law

Diritto ambientale “maestro” della cyber law nella gestione delle esternalità

AmbientaleDicembre 15, 2018

Ambiente e infotecnologie, entrambe le discipline hanno caratteristiche innate che le rendono difficili da regolamentare e che le distinguono dalle altre aree di studio.

Diversi parallelismi possono essere individuati tra le minacce all’ambiente naturale e quelle cibernetiche.

Entrambi i problemi sono sopravvissuti molto più a lungo della durata del mandato di qualsiasi politico della storia.

La portata e l’entità dei danni sono spesso di difficile accertamento e gli effetti della mitigazione e del risanamento possono essere altrettanto difficili da misurare.

I reati informatici e i crimini ambientali condividono una sofisticata rete internazionale criminale di natura ibrida,  gruppi di criminalità organizzata ed esperti tecnici, che si adattano rapidamente e modificano azioni e strategie per evitare di essere individuati e processati.

I regolatori spesso si ritrovano coinvolti in un elaborato gioco di “gatto e topo” con avversari esperti, che cercano attivamente di evitare l’individuazione.

Il rapporto UNEP-INTERPOL del 2016 “L’innalzamento della valutazione dei crimini ambientali” afferma che:

  • Il volume d’affari legato al commercio illegale di specie selvatiche è stimato in circa 7-23 miliardi di dollari l’anno.
  • Il corrispondente dato, correlato al crimine ambientale come macrocategoria è stimato in ca. 91-258 miliardi di dollari (2016) l’anno, un aumento del 26% rispetto alla stima precedente nel 2014.
  • I crimini ambientali aumentano del 5-7% l’anno: stiamo parlando di un dato che supera di 2-3 volte il tasso di crescita dell’economia globale.
  • Il danno erariale correlato rappresenta un allarmante volume pari a 9-26 miliardi di dollari l’anno.
  • I reati forestali di natura societaria legati alle pratiche di disboscamento illecito rappresentano circa 51-152 miliardi di dollari;
  • La pesca illecita è stimata in 11-24 miliardi di dollari,
  • La attività estrattiva mineraria illegale è stimata in 12-48 miliardi di dollari;
  • Il segmento legato alla gestione illecita dei rifiuti in 10-12 miliardi di dollari.

L’ampio differenziale nelle forbici di stima riflette la mancanza di statistiche criminali in questo campo, ma si basa sulle migliori fonti pubbliche e sull’intelligence di INTERPOL.

Secondo le stime ufficiali, il valore complessivo dei reati ambientali lo rende la quarta più grande attività criminale al mondo, superato solo dal traffico di droga (344 miliardi di dollari), i reati di contraffazione (288 miliardi di dollari) e la tratta di esseri umani (157 miliardi di dollari).

A differenza di qualsiasi altro crimine, i crimini ambientali sono aggravati dal costo aggiuntivo rappresentato dall’impatto sull’ambiente e sui costi per le generazioni future.

Che dire della criminalità informatica?

The World Economic Forum afferma che il costo per l’economia globale della criminalità informatica è stato stimato a 445 miliardi di dollari l’anno (https://www.weforum.org/projects/cybercrime) e continua a crescere, con un tasso annuo di crescita composto che fa invidia a parecchie aziende quotate.

Il rapporto del 2017 di Internet Organised Crime Threat Assessment (IOCTA) a cura di Europol ed Interpol ha posto enfasi su come il crimine informatico continui a crescere ed evolversi; mentre molti aspetti del crimine informatico sono stabili e consolidati, vi sono altre aree dei cybercrime che hanno registrato un notevole aumento dell’attività, poiché il crimine informatico continua a prendere nuove forme e nuove direzioni.

Alcuni attacchi informatici hanno causato una diffusa preoccupazione nell’opinione pubblica, ma questo ha rappresentato solo un piccolo esempio della vasta gamma di minacce informatiche da affrontare negli anni a venire, in particolare a causa della crescente convergenza tra il mondo fisico, quello biologico e quello digitale.

Quattro caratteristiche uniche che si applicano sia alla cyber-law che al diritto ambientale sono:

  1. Novità: le minacce ambientali non sono state ampiamente discusse fino alla pubblicazione del famigerato libro “Silent Spring” di Rachel Carson alla fine degli anni ’60, Internet è una sfida epocale di fine ventesimo secolo;

 

  1. Natura evolutiva e portata globale;

 

  1. L’assenza di un’autorità centrale;

 

  1. Alto livello di complessità: l’ambiente è altamente tecnologico, scientifico e intricato; e la sua complessità è aggravata da una pletora di leggi e regolamenti di diritto ambientale, che sono notoriamente elaborati e tecnici.

Dall’altra parte, Internet è un ecosistema in continua trasformazione e complessità, e poiché la complessità è l’avversario principe della sicurezza, i sistemi informatici sono intrinsecamente insicuri.

Non dimentichiamo la sua nascita come uno strumento militare americano, in seguito ampliato per promuovere le priorità sociali, economiche, educative, ricreative, militari, commerciali, compresa la fornitura di numerosi beni e servizi pubblici e privati.

Uno degli obiettivi principali della legislazione ambientale è disciplinare le esternalità, poiché varie forme di degrado ambientale implicano esternalità negative (cioè costi di ricaduta che sono imposti a terzi non responsabili e che non sono trasmessi attraverso i prezzi).

La sicurezza informatica può essere intesa in termini di esternalità negative, ma una potenziale differenza tra inquinamento e sicurezza informatica è che l’inquinamento è un sottoprodotto dannoso di attività socialmente utile (come la produzione) mentre gli attacchi informatici implicano una condotta intenzionalmente dannosa.

Tuttavia, anche le intrusioni di cyber possono essere viste come un sottoprodotto incidentalmente dannoso di attività benefiche: un attacco informatico su un computer è un sottoprodotto del computer connesso a Internet, che è socialmente utile perché produce effetti di rete; aderendo alla rete, l’utente aumenta il suo valore per tutti gli utenti.

Le aziende non sosterranno interamente i costi legati alle proprie Cyber-insicurezze, alcuni effetti inevitabilmente ricadranno su terzi, quindi parzialmente esternalizzati.

Altro parallelismo, un’impresa che stia decidendo quanto investire nella propria infrastruttura di cyber security, tendenzialmente non terrà conto dei costi che un eventuale attacco dovesse comportare per i terzi, le imprese tendono a sovraccaricare l’inquinamento, poiché acquisiscono tutti i benefici dell’attività produttiva associata, ma non tutti costi risultanti.

Allo stesso modo, le aziende tendono ad alimentare in eccesso la cyber-insicurezza: tendono a sottostimare la cyber-difesa, perché internalizzano tutti i benefici ma solo alcuni dei costi.

Pertanto, le imprese possono investire meno nella difesa cibernetica rispetto a quella ottimale dal punto di vista sociale.

Tuttavia la sicurezza informatica può anche essere intesa come un’esternalità positiva: quando un’impresa spende risorse per difendersi dagli intrusi, tale investimento può rendere i sistemi degli altri utenti marginalmente più sicuri.

Le misure di difesa aiutano anche a impedire che il sistema dell’impresa venga inconsapevolmente utilizzato per infliggere danni ai sistemi informatici altrui.

Il diritto dell’ambiente e i principi economici che riflette forniscono un framework importante per capire la tendenza di alcune aziende a trascurare la cyber-difesa: è un problema di free-riding.

Le aziende tendono a sottovalutare e ad investire in misura sottodimensionata sulle cyber-difese per la stessa ragione per la quale tendono a non investire sulle misure di prevenzione dell’inquinamento: perché le falle che provocano attacchi informatici producono esternalità negative riversate sui terzi.

Le imprese tendono anche a sotto-investire in cyber security perché tali spese creano esternalità positive per i competitor e offrono opportunità di free-riding; il ragionamento aziendale pertanto sarà impostato sul “poiché non posso internalizzare tutti i benefici correlati alla assunzione di spese per la difesa informatica, cercherò di fare free-riding sugli sforzi economici sostenuti dalle altre aziende”.

La vera sfida pertanto, per la creazione di un regime efficiente di cyber-security a livello macrosistemico, deve essere quella di internalizzare le esternalità, garantendo che gli operatori inadempienti rispetto alla sicurezza informatica siano gli unici centri di imputazione dei costi e dei danni correlati.

1 Star2 Stars3 Stars4 Stars5 Stars (4 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.